Autor
|
Tema: [MSF] (Para terminar) ¿Es menos detectable el stage que el stager? (Leído 2,673 veces)
|
4v1dy4
Desconectado
Mensajes: 137
|
Hola,
Queria tener un contacto sutil con Metasploit pero creo que sera mas que sutil. Sin embargo esto es lo ultimo que me gustaria preguntar al menos en este comienzo.
Logre manipular los shellcodes de Metasploit. Pero ahora me surge la pregunta:
Contexto: antes de dedicarme a modificar el ensamblador de las shellcodes, intente cifrar el shellcode antes de ser ejecutado. Tuve exito pero solo con analisis estaticos. El analisis de comportamiento del antivirus aun lo detectaba. Asi que ahora estoy en la tarea de modificar el shellcode por completo.
Cuando cifre el shellcode, una vez ejecutandose en memoria el antivirus detecto el stager por comportamiento. ¿Eso quiere decir que si modifico el stager para que sea indetectable, una vez el stager descargue el stage de Metasploit y lo ejecute, no va a igualmente el antivirus detectar, no el stager, pero el stage de Metasploit tambien? ¿O no es asi como funciona la cosa? Eso es lo ultimo que me tiene confundido...
¿Lo "Perfecto" seria entonces modificar un single stage entero y no un stager?
Gracias de antemano por su ayuda.
|
|
|
En línea
|
|
|
|
4n0nym0us
|
Hola qué tal? Sería mejor unificar ambos stages en uno y evitar así la descarga del segundo, de esa manera la única conexión saliente es la del payload y no la del downloader. Evitas un paso y multitud de rutinas de detección antivirus en memoria que sean genéricas. Probablemente debas de cambiar alguna llamada a las apis ya que en ejecución es fácil que te detecten. Por otro lado si vas a utilizar Meterpreter va a ser más difícil que utilizar una reverse shell convencional. Las shell reversas cifradas también son más indetectables
|
|
|
En línea
|
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
|
|
|
4v1dy4
Desconectado
Mensajes: 137
|
Por otro lado si vas a utilizar Meterpreter va a ser más difícil que utilizar una reverse shell convencional. Las shell reversas cifradas también son más indetectables No quiero pasar por iluso, pero un tunel HTTPS debe bastar ¿O no? Por lo que veo, respecto a Metasploit, al menos en terminos de acceso remoto, vale mas la pena desarrollar malware que modificar. Queria experimentar de primera mano la cuestion: ¿Que vale mas la pena, desarrollar o modificar?
|
|
|
En línea
|
|
|
|
4n0nym0us
|
Bueno el antivirus podría funcionar a nivel de api hooking, si alguien puede hacer un ataque "man in the middle" son ellos. Si el tráfico de tu conexión viaja con SSL mejor.. pero yo no he probado la opción, siempre utilizo una reverse tcp RC4 de partida.
Depende de las opciones de la herramienta que ya esté desarrollada y del tiempo y recursos que te lleve desarrollar algo igual o mejor. Si quieres innovar es más inteligente desarrollar algo de cero, sino puede ser muy útil modificar algo que ya funciona.
|
|
|
En línea
|
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
|
|
|
4v1dy4
Desconectado
Mensajes: 137
|
Bueno el antivirus podría funcionar a nivel de api hooking, si alguien puede hacer un ataque "man in the middle" son ellos. Si el tráfico de tu conexión viaja con SSL mejor.. pero yo no he probado la opción, siempre utilizo una reverse tcp RC4 de partida.
Depende de las opciones de la herramienta que ya esté desarrollada y del tiempo y recursos que te lleve desarrollar algo igual o mejor. Si quieres innovar es más inteligente desarrollar algo de cero, sino puede ser muy útil modificar algo que ya funciona.
Bueno... Sabes que... Ahora que lo mencionas... Realmente no es tan buena idea hacer un tunel con HTTPS. De hecho esto ya lo habia deducido anteriormente y por eso hice mis propios protocolos de red de uso exclusivo para mis programas, fuera malware o no... La tecnologia SSL se implementa dentro de las APIs, asi que tienes razon.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Adobe presenta Flash Player 10.2 con `Stage Video´
Noticias
|
wolfbcn
|
0
|
1,738
|
10 Febrero 2011, 13:23 pm
por wolfbcn
|
|
|
Pc no detectable por progrmas como?
Hacking
|
kimi11
|
3
|
3,133
|
8 Agosto 2011, 10:59 am
por .:UND3R:.
|
|
|
Ordenador no detectable por programas
Ingeniería Inversa
|
kimi11
|
2
|
1,977
|
14 Agosto 2011, 08:11 am
por apuromafo CLS
|
|
|
Keylogger detectable por Norton
Hacking
|
simbolo.008
|
3
|
3,948
|
17 Agosto 2011, 11:37 am
por .:UND3R:.
|
|
|
Adobe presenta Flash 11 y AIR 3 con Stage 3D
Noticias
|
wolfbcn
|
0
|
1,230
|
21 Septiembre 2011, 13:56 pm
por wolfbcn
|
|